कंपनियों की व्यक्तिगत जानकारी का रिस्क और नुकसान भरपाई

व्यवसाय प्रबंधन के चारों ओर जो जोखिम हैं, उनमें व्यवसाय संकट, कंपनी की सुरक्षा विचारणा कर्तव्य का उल्लंघन करने वाले दुर्घटनाएं आदि शामिल हैं, लेकिन हाल के वर्षों में, व्यक्तिगत जानकारी का रिसाव और उससे होने वाले क्षतिपूर्ति के जोखिम भी एक बड़ी समस्या बन गई है।

टोक्यो वाणिज्य अनुसंधान ने रिपोर्ट किया है कि 2019 में सूचीबद्ध कंपनियों और उनकी सहायक कंपनियों ने व्यक्तिगत जानकारी के रिसाव और खोने की घटनाओं को 66 कंपनियों ने प्रकाशित किया, घटनाओं की संख्या 86 थी, और रिसाव हुई व्यक्तिगत जानकारी 90,31,734 लोगों की पहुंच तक पहुंच गई थी। इसमें, असूचीबद्ध कंपनियां, विदेशी कंपनियां, सरकारी एजेंसियां, स्वायत्त संगठन, स्कूल आदि शामिल होने पर, यह संख्या खगोलशास्त्रीय स्तर तक बढ़ सकती है।

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

व्यक्तिगत जानकारी के रिसाव और खोने की घटनाओं में, अब तक की सबसे बड़ी घटना अभी भी 2014 की जुलाई में सामने आई बेनेसे होल्डिंग्स (बेनेसे कॉर्पोरेशन) की है, जिसमें एक ठेकेदार कर्मचारी ने ग्राहकों की जानकारी का अवैध उपयोग करके 35,040,000 लोगों की व्यक्तिगत जानकारी का रिसाव किया था, लेकिन 2019 में इस घटना के आसपास कुछ न्यायिक मामलों में नई घटनाएं देखने को मिलीं।
हम बेनेसे की समस्या को सुलझाते हुए, कंपनियों की व्यक्तिगत जानकारी के रिसाव और क्षतिपूर्ति के जोखिम पर विचार करते हैं।

बेनेसे व्यक्तिगत जानकारी लीक होने की घटना क्या है

2014 के जून के आसपास, बेनेसे के ग्राहकों को ‘जस्ट सिस्टम’ कंपनी की द्वारा डायरेक्ट मेल प्राप्त होने लगे, और यह संदेह हुआ कि क्या वे बेनेसे में ही पंजीकृत व्यक्तिगत जानकारी का उपयोग कर रहे हैं, क्या बेनेसे से व्यक्तिगत जानकारी लीक हो रही है, ऐसे प्रश्न पूछने वालों की संख्या में तेजी से वृद्धि हुई।

27 जून को बेनेसे ने कंपनी की जांच शुरू की, 30 जून को पुलिस और अर्थव्यवस्था और उद्योग मंत्रालय को रिपोर्ट की, 9 जुलाई को पत्रकार सम्मेलन की, और बच्चों और अभिभावकों के नाम, पता, फोन नंबर, लिंग, जन्म तिथि आदि की व्यक्तिगत जानकारी लीक हो गई थी, ऐसा घोषणा की।

17 जुलाई को, बेनेसे की सहयोगी कंपनी, जिसने ग्राहक जानकारी प्रबंधन का ठेका लिया था, शिनफोर्म कंपनी ने उनके डाटाबेस सिस्टम की प्रबंधन का दायित्व संभाला, और ग्राहक जानकारी तक पहुंचने का अधिकार था, 39 वर्षीय सिस्टम इंजीनियर ने व्यक्तिगत जानकारी ले ली, और नामावली व्यापारी को बेच दिया, और उसे गिरफ्तार कर लिया गया।

सितंबर में बेनेसे ने पत्रकार सम्मेलन की, और ग्राहक जानकारी लीक की संख्या 3504 लाख के रूप में घोषित की, और पहले से ही व्यक्तिगत जानकारी लीक होने के पीड़ितों के लिए 200 अरब येन का मूलधन तैयार किया गया था, लेकिन फिर से, लीक होने की पुष्टि हुई ग्राहकों को माफी का पत्र भेजा, और ग्राहकों के चयन के अनुसार, 500 येन का कूपन (इलेक्ट्रॉनिक मनी गिफ्ट या नेशनल बुक कार्ड) भेजा, या लीक होने पर प्रति 500 येन को बच्चों के सहायता आदि के लिए स्थापित किए गए फाउंडेशन बेनेसे चिल्ड्रेन फंड में दान किया, ऐसी प्रक्रिया के द्वारा भरपाई की घोषणा की।

इसके विपरीत, पीड़ितों के कुछ हिस्से ने, कई वकीलों के समूह बनाए और समूह याचिका दायर की, लेकिन 2019 में इससे संबंधित कुछ गतिविधियाँ देखने में आईं। वैसे, आपराधिक मामले के रूप में, व्यक्तिगत जानकारी ले जाने के लिए, अनुचित प्रतिस्पर्धा निवारण अधिनियम (व्यापार गुप्त नकल, प्रकटीकरण) के उल्लंघन के लिए सिस्टम इंजीनियर के खिलाफ आपराधिक मुकदमे में, 21 मार्च 2017 को टोक्यो उच्च न्यायालय के फैसले में, 2 वर्ष 6 महीने की कारावास, 3 मिलियन येन का जुर्माना, बिना किसी विचारधारा के वास्तविक सजा का फैसला स्थायी हो गया है।

सर्वोच्च न्यायालय का निर्णय और अपील याचिका

एक पुरुष और बच्चे के नाम, पता, फोन नंबर आदि की जानकारी लीक होने से मानसिक पीड़ा का सामना करने पर, पुरुष ने बेनेसे से व्यक्तिगत रूप से 1 लाख येन की मुआवजा की मांग की थी। सर्वोच्च न्यायालय ने ओसाका उच्च न्यायालय के निर्णय को खारिज कर दिया और यह कहते हुए कि उन्होंने पूरी तरह से जांच नहीं की, उन्होंने अपील को वापस कर दिया।

कोबे जिला न्यायालय हिमेजी शाखा, जो अपील से पहले की पहली अदालत थी, ने 2 दिसंबर 2015 को बेनेसे के प्रबंधन में पुरुष के नाम की जानकारी के लीक होने को विवाद का विषय नहीं मानते हुए मान्यता दी, और इसे बेनेसे की लापरवाही के कारण माना गया, जिसके लिए पुरुष की मांग को खारिज कर दिया गया।

इसके विपरीत, पुरुष ने अपील की और अपील याचिका (ओसाका उच्च न्यायालय, 29 जून 2016 का निर्णय) ने, अपील करने वाले के बच्चे के नाम, लिंग, जन्म तिथि, पोस्टल कोड, पता, फोन नंबर, अभिभावक का नाम (अपील करने वाले का नाम) की जानकारी के लीक होने को मान्यता दी, और इसे ध्यान में रखते हुए, अपील करने वाले के नाम, पोस्टल कोड, पता, फोन नंबर और उसके परिवार के सदस्यों के नाम, लिंग, जन्म तिथि आदि की व्यक्तिगत जानकारी के लीक होने की बात कही गई।

सर्वोच्च न्यायालय का निर्णय

जब अपील करने वाले ने इसके खिलाफ अपील की, तो सर्वोच्च न्यायालय ने इसे स्वीकार किया और कहा कि इस लीक के कारण अपील करने वाले की प्राइवेसी का उल्लंघन हुआ है, लेकिन ओसाका उच्च न्यायालय ने प्राइवेसी के उल्लंघन के कारण अपील करने वाले की मानसिक हानि की मात्रा आदि की जांच करने के बिना, उनकी मांग को खारिज कर दिया। इस प्रकार, मूल न्यायालय के इस निर्णय को खारिज कर दिया गया, और इसे उच्च न्यायालय में वापस भेज दिया गया (सर्वोच्च न्यायालय, 23 अक्टूबर 2017 का निर्णय)।

अपील याचिका का निर्णय

ओसाका उच्च न्यायालय (20 नवंबर 2019 का निर्णय) ने इसे वापस भेजने के बाद, इस कर्मचारी ने MTP के साथ संगत स्मार्टफोन को व्यावसायिक कंप्यूटर के USB पोर्ट से USB केबल का उपयोग करके जोड़ा और MTP संचार के माध्यम से डेटा स्थानांतरित किया, और व्यक्तिगत जानकारी को अवैध रूप से प्राप्त करके नामावली व्यापारी को बेच दिया। शिनफोर्म कंपनी ने MTP संगत स्मार्टफोन को उपरोक्त कार्यालय में ले जाने की अनुमति दी, जिससे यह व्यक्तिगत जानकारी के संपर्क में नहीं आ सकती थी, और इसे उपयुक्त कदम उठाने की जिम्मेदारी थी, लेकिन उन्होंने इसे नजरअंदाज कर दिया, जिसके कारण उन्हें लापरवाही का आरोप लगा। बेनेसे ने, जिसने शिनफोर्म कंपनी को व्यक्तिगत जानकारी का उपयोग करने की अनुमति दी, उचित निगरानी की जिम्मेदारी का उल्लंघन किया, जिसके परिणामस्वरूप कर्मचारी द्वारा जानकारी का लीक हुआ, इसलिए इसके कारण हुए नुकसान के लिए वे अवैध कार्य की जिम्मेदारी उठाते हैं।

फिर, व्यक्तिगत जानकारी संरक्षण कानून के 22 धारा के अनुसार, “व्यक्तिगत जानकारी व्यवसायी, व्यक्तिगत डेटा के संचालन को पूरी तरह या आंशिक रूप से सौंपने की स्थिति में, सौंपने वाले व्यक्ति के प्रति आवश्यक और उचित निगरानी करनी चाहिए, ताकि व्यक्तिगत डेटा की सुरक्षा सुनिश्चित हो सके।” का उल्लंघन करते हुए, प्राइवेसी का उल्लंघन होने की मान्यता देते हुए, अपील करने वाले के पते, नाम, फोन नंबर आदि की जानकारी होमपेज आदि पर प्रकाशित होने के आधार पर, मुआवजा के रूप में 1000 येन का भुगतान करने का आदेश दिया।

यह न्यायिक कार्यवाही, बेनेसे की मुआवजा दायित्व को मान्यता देने वाली तीसरी उदाहरण है। हमने इस लेख की शुरुआत में “2019 में इस मामले के आसपास कुछ मुकदमों में नई घटनाएं देखने को मिली थीं” लिखा था, लेकिन बेनेसे की मुआवजा दायित्व को मान्यता देने वाले तीन निर्णय सभी 2019 में दिए गए थे।

बेनेसे की जिम्मेदारी को मानने वाला पहला न्यायिक मामला

प्रथम अदालत का निर्णय

बेनेसे ने अपनी और अपनी पत्नी और बेटे की व्यक्तिगत जानकारी को बाहरी स्रोतों के साथ साझा करने के कारण, एक पुरुष ने मानसिक पीड़ा का दावा किया और अनुचित आचरण के आधार पर, उन्होंने बेनेसे से मुआवजा की मांग की। यह पहली बार था जब बेनेसे की जिम्मेदारी को माना गया था।

प्रथम अदालत (योकोहामा जिला अदालत, 16 फरवरी 2017 का निर्णय) ने बेनेसे की ध्यान देने की जिम्मेदारी को माना, लेकिन व्यक्तिगत डेटा के हाथों में लेने की जिम्मेदारी का उल्लंघन करने के लिए पर्याप्त साक्ष्य नहीं था, इसलिए उन्होंने बेनेसे के खिलाफ दावा को खारिज कर दिया, जिसके बाद पुरुष ने अपील की।

प्रथम अदालत में, बेनेसे ने व्यक्तिगत जानकारी सुरक्षा कानून के अनुसार अर्थ मंत्री से अपनी जिम्मेदारी का उल्लंघन किया और इस जानकारी के लीक होने के कारण उन्हें सलाह दी गई थी। हालांकि, इस धारा के तहत सलाह देने का उद्देश्य व्यक्तिगत अधिकारों की सुरक्षा करने के लिए होता है, और यह जानकारी के लीक होने के समय परिणामों की भविष्यवाणी या परिणामों को रोकने की जिम्मेदारी का उल्लंघन करने की आवश्यकता नहीं होती है। इसलिए, केवल इस बात का दावा करने के लिए कि सलाह दी गई थी, जानकारी के लीक होने के समय बेनेसे में सिविल कोड 709 की लापरवाही थी, यह मानने के लिए पर्याप्त नहीं था।

अपील अदालत का निर्णय

इसके विपरीत, अपील अदालत, टोक्यो हाई कोर्ट (27 जून 2019 का निर्णय) ने, उच्च स्तर की जानकारी का उपयोग करने या विशेष तकनीक का उपयोग करने के बजाय, केवल स्मार्टफोन को बाजार में उपलब्ध USB केबल के माध्यम से व्यावसायिक कंप्यूटर से जोड़ने के लिए, डेटा के हस्तांतरण की संभावना थी, और इसे साधारण अपराध के रूप में कार्यान्वित किया गया था, इसे मानते हुए, सिंफोर्म कंपनी को MTP समर्थित स्मार्टफोन के लिए लिखने की नियंत्रण उपाय का ध्यान देने की जिम्मेदारी थी, लेकिन उन्होंने इसे नजरअंदाज कर दिया, और बड़ी मात्रा में व्यक्तिगत जानकारी का प्रबंधन करने के लिए बेनेसे को सौंपा गया था, जिसके दौरान जानकारी के लीक होने के समय, उन्हें उचित निगरानी करने की जिम्मेदारी थी, लेकिन उन्होंने इसे नजरअंदाज कर दिया। इसे मानते हुए, दोनों कंपनियों के इन अनुचित आचरणों को साझा अनुचित आचरण (सिविल कोड 719, पहला खंड) माना गया।

फिर उन्होंने कहा, “अपील करने वाले लोगों के लिए, इन व्यक्तिगत जानकारी के बारे में, वे नहीं चाहते कि यह अन्य लोगों के साथ बेवजह साझा किया जाए, यह स्वाभाविक है, इसलिए यह व्यक्तिगत जानकारी, अपील करने वाले लोगों की गोपनीयता से संबंधित जानकारी के रूप में कानूनी सुरक्षा का विषय होती है, और इस जानकारी के लीक होने से, अपील करने वाले लोगों की गोपनीयता का उल्लंघन हुआ है।” इसके बाद, उन्होंने जानकारी के लीक होने के तुरंत बाद प्रतिक्रिया शुरू की, जानकारी के लीक होने के नुकसान को बढ़ने से रोकने के उपाय लिए, और निगरानी अधिकारी के निर्देशों के आधार पर जांच रिपोर्ट दी। इसके अलावा, उन्होंने जानकारी के लीक होने के संदेह वाले ग्राहकों को माफी का पत्र भेजा, और 500 येन के कूपन का वितरण किया, और अपील करने वाले लोगों ने भी प्रत्येक 500 येन के इलेक्ट्रॉनिक मनी गिफ्ट प्राप्त किया। इसे ध्यान में रखते हुए, उन्होंने बेनेसे को प्रत्येक 2000 येन का मुआवजा देने का आदेश दिया।

बेनेसे की जिम्मेदारी को मानने वाला दूसरा न्यायिक मामला

13 ग्राहकों ने कंपनी और संबंधित कंपनियों से कुल 980,000 येन की हानि भरपाई की मांग की थी, जिसका फैसला 2019 वर्ष (ग्रेगोरियन कैलेंडर वर्ष) 6 सितंबर को टोक्यो जिला न्यायालय में हुआ, और बेनेसे और शिनफोर्म कंपनी को प्रति व्यक्ति 3000 येन (एक व्यक्ति को 3300 येन) का भुगतान करने का आदेश दिया गया, कुल 42,300 येन।

न्यायालय ने, बेनेसे की शिनफोर्म कंपनी के प्रति उपयोगकर्ता की जिम्मेदारी को मानने से इनकार किया, क्योंकि वे अलग कंपनी हैं, लेकिन शिनफोर्म कंपनी ने सुरक्षा सॉफ्टवेयर की सेटिंग को नहीं देखा, और इसके परिणामस्वरूप, MTP समर्थित स्मार्टफोन के लिए व्यावसायिक कंप्यूटर से डेटा स्थानांतरण संभव हो गया था, इसलिए, जानकारी निकासी नियंत्रण कर्तव्य का उल्लंघन करने वाली लापरवाही थी, और बेनेसे ने इस प्रकरण के सिस्टम के विकास आदि के लिए बड़ी संख्या में ग्राहक जानकारी का उपयोग करने का काम सौंपा, ग्राहकों को भी शामिल करते हुए, धार्मिक नियम के तहत, वे निर्धारित करने और निगरानी करने की जिम्मेदारी थी, और उन्होंने संयुक्त अवैध कार्य (जापानी सिविल कोड की धारा 719, अनुच्छेद 1, पहला भाग) को मानते हुए, प्लेंटिफ्स को हानि भरपाई का भुगतान करने का आदेश दिया।

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

इस फैसले में भी, व्यक्तिगत जानकारी सुरक्षा कानून की धारा 22 में, “व्यक्तिगत डेटा ऑपरेटर को, व्यक्तिगत डेटा के संचालन को पूरी तरह या आंशिक रूप से सौंपने के मामले में, सौंपे गए व्यक्तिगत डेटा की सुरक्षा प्रबंधन को सुनिश्चित करने के लिए, सौंपने वाले व्यक्ति के प्रति आवश्यक और उचित निगरानी करनी चाहिए।” का प्रावधान है, और यह भी उल्लेख किया गया है कि 2009 वर्ष (ग्रेगोरियन कैलेंडर वर्ष) के जापानी अर्थव्यवस्था मंत्रालय के दिशानिर्देशों में “आवश्यक और उचित निगरानी” में, सौंपने वाले को उचित रूप से चुनना, सौंपने वाले को व्यक्तिगत जानकारी सुरक्षा कानून की धारा 20 के अनुसार सुरक्षा प्रबंधन कार्यवाही का पालन करने के लिए आवश्यक अनुबंध करना, और सौंपने वाले के पास सौंपे गए व्यक्तिगत डेटा की स्थिति को समझना, शामिल है।

सारांश

बेनेसे ने शुरुआत में, पीड़ितों के लिए 200 अरब येन की मूल धनराशि की तैयारी की थी, लेकिन यह पर्याप्त नहीं था। 2014 नवम्बर में, जापानी सूचना आर्थिक समाज प्रोत्साहन संघ (Japan Information Economy Society Promotion Association) ने, बेनेसे होल्डिंग्स द्वारा प्राप्त किया गया, व्यक्तिगत जानकारी को उचित रूप से प्रबंधित करने वाली कंपनियों को दिए जाने वाले प्राइवेसी मार्क को रद्द कर दिया। 2015 अप्रैल के ‘शिंकेन सेमी’ और ‘कोडोमो चैलेंज’ के सदस्यों की संख्या 271 लाख थी, जो पिछले वर्ष के समान मास की तुलना में 94 लाख की कमी थी, और अप्रैल से जून तक के समयावधि के कन्सोलिडेटेड निर्णय में बिक्री की राशि पिछले वर्ष की तुलना में 7% कमी, और व्यापारिक लाभ में 88% की कमी थी, और व्यापारिक हानि पिछले वर्ष के समान अवधि के 39 अरब 100 मिलियन येन के मुनाफे से, 430 मिलियन येन के घाटे में बदल गई। व्यक्तिगत जानकारी के रिसाव के साथ होने वाले क्षतिपूर्ति का जोखिम, कंपनियों के लिए, मौत और जीवन का मुद्दा बन सकता है।